Ataques cibernéticos: estratégias de defesa jurídica para empresas

Em um mundo onde dados pessoais são considerados valiosos ativos e as ameaças cibernéticas aumentam a cada dia, estabelecer mecanismos para garantir a sua proteção se tornou uma prioridade absoluta para empresas de todos os setores.

Dentro desse contexto, a Autoridade Nacional de Proteção de Dados (ANPD) publicou, no último dia 24 de abril e 2024, o Regulamento de Comunicação de Incidente de Segurança (RCIS), que além de estabelecer obrigações a serem atendidas pelos controladores de dados pessoais em relação a incidentes de segurança, promove a adoção de boas práticas de governança, como medidas de mitigação de riscos e prejuízos decorrentes de situações envolvendo incidentes de segurança.

Dentre as principais obrigações estabelecidas pela ANPD no âmbito do RCIS em relação ao controlador de dados, verifica-se:

  • Comunicação de Incidente de Segurança: a comunicação à ANPD e aos titulares sobre a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, deverá ser realizada em até 3 dias úteis a partir da identificação do incidente, por meio de encarregado de proteção de dados (DPO).

Um incidente será considerado relevante se puder afetar significativamente os interesses e direitos fundamentais dos titulares e envolver dados pessoais sensíveis, dados de crianças, adolescentes ou idosos, dados financeiros, dados de autenticação em sistemas (dados de usuário e senha), dados protegidos por sigilo legal, judicial ou profissional, ou dados em larga escala.

  • Detalhamento da Comunicação de Incidente de Segurança: a comunicação deverá conter informações detalhadas sobre o incidente, incluindo, dentre outros, descrição da natureza e categoria dos dados afetados, número de titulares afetados, especificando crianças, adolescentes ou idosos, se aplicável, medidas técnicas e de segurança adotadas antes e após o incidente, riscos relacionados ao incidente e seus impactos nos titulares, medidas tomadas ou a serem adotadas para reverter ou mitigar os efeitos do incidente, data da ocorrência e data de conhecimento do incidente pelo controlador, dados de contato do encarregado ou representante do controlador.
  • Guarda de Registros de Incidente de Segurança: o controlador deve manter registro do incidente de segurança, incluindo aqueles não comunicados à ANPD e aos titulares, por no mínimo cinco anos, a menos que haja obrigações adicionais exigindo um prazo maior.

A implementação de um programa de governança de dados eficiente é uma estratégia de investimento empresarial inteligente, que permite que as empresas se adequem ao RCIS, bem como minimizem os riscos reputacionais e financeiros associados a ataques cibernéticos e vazamentos de dados, através da adoção de algumas medidas, tanto técnicas quanto administrativas:

  • Nomeação de um Encarregado de Proteção de Dados (DPO): a nomeação de um Encarregado de Proteção de Dados é medida obrigatória para atendimento a LGPD, sobretudo para representação do controlador perante a ANDP e os titulares, inclusive no âmbito de comunicação de incidentes de segurança. A função de DPO pode ser terceirizada, permitindo as empresas a contratação de profissionais especializados na matéria, com redução de custos internos.
  • Avaliação de Riscos: realizar avaliações regulares de riscos de violação de segurança da informação para identificar e entender as vulnerabilidades nos sistemas de informação da empresa. Isso permite que a empresa tome medidas proativas para mitigar esses riscos antes que ocorra um incidente.
  • Políticas de Proteção de Dados e Segurança da Informação: implementar políticas claras e abrangentes relativas a proteção de dados e segurança da informação, incluindo diretrizes para o armazenamento seguro de dados, o acesso restrito a informações confidenciais e a criptografia de dados sensíveis. Essas políticas ajudam a proteger os dados pessoais da empresa contra acessos não autorizados e uso indevido.
  • Treinamento e Conscientização: capacitar os funcionários por meio de programas de treinamento e conscientização sobre proteção de dados e segurança da informação. Funcionários bem treinados estão mais preparados para reconhecer e responder a ameaças cibernéticas, reduzindo assim o risco de incidentes de segurança.
  • Monitoramento Contínuo: implementar sistemas de monitoramento contínuo para detectar atividades suspeitas e potenciais violações de dados em tempo real. Isso permite uma resposta rápida a incidentes de segurança, minimizando o impacto negativo nas operações comerciais.
  • Resposta a Incidentes: desenvolver planos de resposta a incidentes detalhados para lidar com violações de dados de forma eficaz. Isso inclui a designação de equipes de resposta a incidentes nos aspectos jurídico, regulatórios e de negócios, a definição de procedimentos claros para notificação de violações de dados e a colaboração com autoridades.

Além das implicações legais e regulatórias, um ataque cibernético pode trazer sérias consequências financeiras e reputacionais para a empresa, afetando sua credibilidade, relacionamento com clientes e, em última instância, sua sobrevivência no mercado.

Quando implementados de maneira integrada e proativa, esses mecanismos que compõem um programa de governança de dados pessoais ajudam a fortalecer a segurança da informação da empresa, assim como os dados de seus clientes, parceiros e colaboradores, e a minimizar os riscos relacionados a incidentes de segurança de dados, sendo necessário um planejamento específico e um plano de ação compatível com as atividades e o porte de cada empresa.

O escritório EMERENCIANO, BAGGIO & ASSOCIADOS – ADVOGADOS, por sua área especializada em privacidade, proteção de dados, inovação e tecnologia vem assessorando seus clientes na adequação de seus processos e atividades à legislação de proteção de dados e demais normas vigentes.

Este conteúdo possui caráter meramente informativo, não consistindo em qualquer tipo de consultoria, recomendação ou orientação técnica e/ou legal para casos concretos a respeito dos temas aqui abordados.

Ultimas notícias

Post em destaque: Lorem Ipsum dolor sit

Receita Federal regulamenta a Dirbi, a nova declaração de benefícios fiscais federais

Gestão de Riscos Legais para Empresas: Estratégias para Minimizar Litígios e Responsabilidades

Os riscos de privacidade e proteção de dados no uso da Inteligência Artificial

Inscreva-se no boletim informativo

Artigos relacionados

Post em destaque: Lorem Ipsum dolor sit

Receita Federal regulamenta a Dirbi, a nova declaração de benefícios fiscais federais

Gestão de Riscos Legais para Empresas: Estratégias para Minimizar Litígios e Responsabilidades

Os riscos de privacidade e proteção de dados no uso da Inteligência Artificial

Fale Conosco

Agende uma consulta online (*) com um advogado especialista para análise de suas necessidades.

*Honorários conforme tabela da OAB/SP

Nos acompanhe nas redes sociais:

Linkedin Instagram Facebook-square Youtube

Institucional

Atuação

Inscreva-se para receber nossos boletins informativos:

  • São Paulo - SP

Rua Cincinato Braga, 340 – 7º Andar – Conj. 71 – Edifício Delta Plaza
Bairro Bela Vista – CEP: 01333-010
Fone: +55 (11) 2123-4500

  • Campinas - SP

Rua Barão de Jaguara, 655 – 2º Andar – Edifício Empresarial América do Sul
Centro – CEP: 13015-925
Fone: +55 (19) 2102-7600

  • Brasília - DF

SCN Q 2 BL A, 190, Ed. Corporate Financial Center, sala 502
Asa Norte – CEP: 70712-900
Fone: +55 (61) 3543-0053

Políticas de Privacidade
Termos de Uso
© Emerenciano Baggio & Associados Advogados – Todos os direitos reservados.
Search
Abrir bate-papo
Powered by Joinchat
Olá
Podemos ajudá-lo?